SlideShare une entreprise Scribd logo
1  sur  35
Télécharger pour lire hors ligne
ANALYSES DE RISQUES
CLUSIR InfoNord RSSI du 24 janvier 2012
AGENDA
 Introduction et concepts
 Méthodologies et normes
 Concrètement
 Outillage
 Retours d’expérience
 Facteurs clés de succès
 Conclusion et questions
AGENDA
 Introduction et concepts
 Méthodologies et normes
 Concrètement
 Outillage
 Retours d’expérience
 Facteurs clés de succès
 Conclusion et questions
INTRODUCTION
 Objectifs :
    A partir des principales normes et méthodologies actuelles, en
    présenter les principaux concepts puis apporter des retours
    d’expérience
    Ceci afin de donner les clés permettant de réaliser des
    analyses de risque pertinentes et efficaces


 Limites :
    La présentation se limitera à l’analyse de risque SI
    uniquement
CONCEPTS ET VOCABULAIRE
DU RISQUE AU « SCÉNARIO DE RISQUE »

                                                  Fenêtre ouverte =
                                                    Vulnérabilité




                                               Risque = Vol de matériel
                                                  ou d’informations




                                                  Passant = Menace

                                         Scénario de Risque =
                                      Combinaison d’une menace
                                      et d’une vulnérabilité dont
                                      l’impact sur l’activité n’est
                                              pas anodin.
CONCEPTS ET VOCABULAIRE
LA TERMINOLOGIE COURANTE (1/2)

  Menaces
     Ce sont les choses ou les personnes à l’origine des risques. On
     peut distinguer plusieurs types de menaces (humaines,
     techniques, environnementales notamment)
  Vulnérabilité
     Il s’agit d’une lacune dans les dispositifs et mesures de
     sécurité en place qui permettent ou facilitent la concrétisation
     du risque
  Actif/activité essentiel(le) (aussi appelé bien essentiel dans
  certaines méthodologies)
     Ce sont les composants ou les activités sur lesquels on va
     « appliquer » l’analyse de risques
  Actif support (aussi appelé bien support dans certaines
  méthodologies)
     Ce sont les composants d'un système d'information sur
     lesquels reposent les biens essentiels et/ou les mesures de
     sécurité. On trouvera généralement les biens relatifs aux
     systèmes d’informations et de téléphonie, ceux relatifs à
     l’organisation et ceux relatifs aux locaux.
CONCEPTS ET VOCABULAIRE
LA TERMINOLOGIE COURANTE (2/2)

  Probabilité d’occurrence (parfois appelé potentialité)
    Probabilité que la menace se concrétise « dans l’absolu »,
    sans tenir compte des vulnérabilités.
  Impact
    Ce sont les conséquences d’une réalisation d’un scénario de
    risque sur l’activité métier. Il existe des impacts directs
    (financiers, image, par exemple) et des impacts indirects
    (désorganisation , réglementaire ou juridique). La mesure
    des impacts est primordiale dans le sens où c’est elle qui va
    déterminer le niveau du risque.
  Risque
    Probabilité qu’une menace puisse exploiter une
    vulnérabilité d’un actif ou d’un groupe d’actifs et cause un
    impact non négligeable sur l’organisation ou ses activités
    (ISO 27005).
CONCEPTS ET VOCABULAIRE
TRAITEMENT DU RISQUE

 Evitement
    Arrêt de l’activité (ou du projet)
 Réduction
    Implémentation de mesures de sécurité
 Transfert
    Assurance
 Acceptation
    Le métier décide de ne rien faire
AGENDA
 Introduction et concepts
 Méthodologies et normes
 Concrètement
 Outillage
 Retours d’expérience
 Facteurs clés de succès
 Conclusion et questions
MÉTHODOLOGIES ET NORMES
 Plus de 200 méthodologies existantes
   Globales
   Sectorielles
 En France, les plus connues sont
   EBIOS, produite par l’ANSSI
     Outil EBIOS
   MEHARI, produite par le CLUSIF
     11 langues
     25.000 téléchargements de la base de connaissance
     Outil RISICARE
   IRAM, produite par l’ISF
     Réservée aux membres de l’ISF
     Plutôt pour des entreprises de grande ampleur
     internationale (méthodologie en anglais)
MÉTHODOLOGIES ET NORMES
MEHARI – CLUSIF

 Phase préparatoire                                                              Phase
                                                                              préparatoire
    Prise en compte du contexte
    Définition des métriques
    Identification des activités essentielles                                     Phase
                                                                              opérationnelle
    Identification des actifs support (potentialité et impact intrinsèques)   d’analyse des
                                                                                 risques
 Phase opérationnelle
    Analyse des vulnérabilités
    Analyse des menaces                                                         Phase de
                                                                               planification
    Identification de la potentialité et de l’impact                          du traitement
    Identification de la gravité                                                du risque

    Confrontation de (la potentialité et de l’impact) avec la gravité
    Décisions sur la gestion des risques
 Planification et traitement
    Plan de traitement des risques et amélioration continue
MÉTHODOLOGIES ET NORMES
EBIOS – ANSSI

 Contexte                                                        Contexte

    Prise en compte du contexte
    Définition des métriques                       Evénements                Scénarios de
    Identification des activités essentielles       redoutés                  menaces

    Identification des actifs support
 Evènements redoutés                                             Risques
    Identification des impacts
 Scénarios de menace
    Analyse des vulnérabilités                                  Mesures de
                                                                 sécurité
    Analyse des menaces
    Identification des probabilités d’occurrence
 Etude des risques
    Confrontation des scénarios de menace (probabilité d’exploitation des
    vulnérabilités par les menaces) avec les évènements redoutés (impact)
    Décisions sur la gestion des risques
 Etude des mesures de sécurité
    Plan de traitement des risques et amélioration continue
MÉTHODOLOGIES ET NORMES
ISO/IEC 27005 – INTERNATIONAL STANDARD ORGANISATION
                                                                                   Etude du contexte

 Etude du contexte
                                                                            Appréciation des risques
    Prise en compte du contexte




                                                Communication des risques
                                                                              Analyse des risques
    Définition des métriques                                                        Identification des
                                                                                         risques
 Identification des risques




                                                                                                              Suivi et revue
    Identification des activités essentielles                                    Estimation des risques


    Identification des actifs support
                                                                                 Evaluation des risques
    Analyse des menaces
    Analyse des vulnérabilités                                                    Traitement du risque

    Identification des conséquences
                                                                             Acceptation du risque résiduel
 Estimation des risques
    Confrontation des menaces avec
    les vulnérabilités et les conséquences possibles
    Identification des probabilités d’occurrence
 Evaluation des risques (revue)
 Traitement du risque
 Amélioration continue
MÉTHODOLOGIES ET NORMES
SYNTHÈSE

 Les méthodologies s’alignent sur la norme ISO/IEC 27005

 Les méthodologies sont semblables…
    Implémentation des mêmes concepts
    Propositions d’outils et de bases de connaissances
 Mais différentes
    Vocabulaire
    Organisation de la démarche


 L’ISO/IEC 27005 ne propose pas de méthode
    Elle propose les règles pour concevoir une méthode
    Par conséquent pas d’outils, mais des bases de connaissance issues
    d’EBIOS


Une alternative est de concevoir sa propre méthode, en s’alignant sur
  les concepts de l’ISO 27005. A défaut, EBIOS est assez proche.
AGENDA
 Introduction et concepts
 Méthodologies et normes
 Concrètement
 Outillage
 Retours d’expérience
 Facteurs clés de succès
 Conclusion et questions
COMMENT S’Y PRENDRE CONCRÈTEMENT ?
AVANT DE SE LANCER

  Répondre à la question « A quoi vont me servir les résultats de
  l’analyse de risques » ?
     A mettre en place un SMSI ou construire un schéma directeur sécurité
     ? (oui)
     A identifier de nouvelles mesures de sécurité à mettre en place sur
     mon SI ? (non)
     A identifier de nouvelles mesures de sécurité à mettre en place sur
     mon SI, en fonction des besoins métier ? (oui)
     A identifier des éléments qui me serviront de levier pour déclencher
     un projet ou trouver du budget ? (oui)
     A poursuivre mon projet en toute sérénité ? (oui)
  Suivant la réponse, on ne mènera pas le même type de démarche.
  Cependant, pour des raisons de cohérence, il sera intéressant de
  définir pour une même organisation une démarche simplifiée et
  une démarche complète.
COMMENT S’Y PRENDRE CONCRÈTEMENT ?
ATTENTION AUX DÉVIANCES !

Une analyse de risques,            Une analyse de risques,
ça ne sert pas à…                  ça sert à…
 Faire beau pour dire d’en           Définir un Schéma Directeur,
 avoir fait une (risque de           initier un SMSI, de manière
 décrédibiliser l’ensemble de la     générale à appuyer une
 démarche sécurité)                  gestion de la sécurité basée
                                     sur les risques métiers

 Remplacer un audit                  Sensibiliser et communiquer
                                     sur les risques de
                                     l’organisation
 Juger l’IT et évaluer son
 niveau de sécurité
                                     Obtenir des leviers « métier »
                                     pour dégager du budget,
                                     déclencher un projet
COMMENT S’Y PRENDRE CONCRÈTEMENT ?
  L’ANALYSE DE RISQUES « GLOBALE »

Quand             Comment                           Resp.         Impliqués
Approche          Définir :                         RSSI          Direction (CODIR,
globale (Schéma   •Le périmètre (et ses limites)                  ou équivalent)
Directeur,        •Le niveau de granularité                       Métiers
SMSI, ..)         •Les échelles d’impact et de                    Managers
                  probabilité
                  •Les bases de vulnérabilités et
                  de menaces




           Lorsque c’est la toute première Analyse de Risques réalisée :
•Commencer sur un périmètre bien défini voire restreint avec une granularité très
faible voire sans granularité
•Ce type d’analyse s’inscrit dans une démarche PDCA : l’analyse suivante pourra viser
un périmètre plus large ou une granularité plus fine !
COMMENT S’Y PRENDRE CONCRÈTEMENT ?
 L’ANALYSE DE RISQUES « PROJET »
Quand             Comment                            Resp.           Impliqués
En début de       Définir :                          Chef de         Métiers utilisateurs
projet            •Le périmètre (limites             projet,         (besoins)
                  techniques généralement)           accompagné      Principaux acteurs
                  •Le niveau de granularité          par un acteur   IT du projet
                  (modules fonctionnels)             sécurité
                  •Les échelles, adaptées au
                  niveau d’impact du projet sur
                  l’activité
                  •Les bases de vulnérabilités et
                  de menaces (un peu plus
                  techniques)




           Tout projet ne doit pas faire l’objet d’une Analyse de Risques complète. Il est
préférable de réaliser d’abord une rapide « analyse de sensibilité », qui déterminera si
le projet doit effectivement passer par une analyse de risques ou alors simplement par
une analyse simplifiée et réalisée de manière autonome sans la sécurité (issu de l’AR
globale qui a défini des mesures communes à toute l’organisation).
COMMENT S’Y PRENDRE CONCRÈTEMENT ?
  AU CAS PAR CAS
Quand                 Comment                     Resp.           Impliqués
Besoins ponctuels     •Méthodologies adaptées     Celui qui       Dépendant du
(benchmark, suivi     mais très simplifiées       réalise la      périmètre,
des vulnérabilités,   •Périmètre réduit à une     tâche, sans     généralement peu
auto-évaluation, …)   tâche, un actif, etc.       appui           de personnes
                                                  impératif de
                                                  la sécurité




         Ce type d’analyse sera réalisé sur opportunité. On pourra l’appuyer par
exemple sur la méthodologie simplifiée définie pour les projets par exemple, mais il
sera nécessaire de s’ assurer que les échelles employées correspondent au périmètre.
AGENDA
 Introduction et concepts
 Méthodologies et normes
 Concrètement
 Outillage
 Retours d’expérience
 Facteurs clés de succès
 Conclusion et questions
OUTILLAGE
L’ALTERNATIVE

  Utiliser les outils des méthodologies (EBIOS, MEHARI)
             Avantages                                Inconvénients
 Bases de connaissances pré remplies         Adaptation de la méthode à l’outil
      Mécanismes implémentés             Nécessite une formation et de l’expérience
                                           Perte de maîtrise sur la méthodologie

  Créer son propre outillage
             Avantages                                Inconvénients
      Implémentation pas à pas              Bases de connaissance à renseigner
Formation par la pratique qui engendre   Automatisation des calculs à implémenter
  une meilleure maîtrise des concepts
  L’outil s’adapte à la méthode et au           Nécessite d’être documenté
  contexte (bases de connaissances)

   Quel que soit l’outil, il doit être maîtrisé (pour les ajustements) et
                réutilisable (pour la revue des risques)
OUTILLAGE
MÉTHODOLOGIE – HOWTO AVEC EXCEL

  Lire l’ISO/IEC 27005 (~ 20 pages utiles)
  Onglet 1
     Définition du contexte (quelques lignes)
     Définition du périmètre
        Activités essentielles et leur classification (au sens métier)
        Actifs de support (ATTENTION à la granularité !)
  Onglet 2
    Définition des métriques (grilles de probabilité, impact,
    acceptation du risque)
  Onglet 3 (option pour l’automatisation)
    Base des menaces et base des vulnérabilités
  Onglet 4
    Cartographie des risques consolidée par niveau (PPT)
Un peu de feeling et de pragmatisme permettent de réduire les bases de
  menaces et de vulnérabilités et par conséquent d’être plus efficace
OUTILLAGE
                     MÉTHODOLOGIE – HOWTO AVEC EXCEL
     Besoin de sécurité                   Disponibilité                    Intégrité                        Confidentialité                                         Preuve
               Faible                              Plus de 72h                        Détectable                                   Public                                    Pas de traces
                                                                           Une perte d'intégrité, détectée
                                           Une indisponibilité, planifiée                                                                                           Aucune exigence ni besoin de
                                                                           ou non, perturbe peu les
                            1                 ou non, n'impacte pas les                                     Une divulgation de l'information n'a aucun impact       trace n’est à prendre en
                                                                           processus et peut rapidement
                                                 processus de soin                                                                                                  compte
                                                                           être corrigée
                         Moyen                     Entre 24 et 72h                     Maîtrisé                                    Limité                                    Traces simples
                                            Une indisponibilité, limitée
                                                                                                            Une divulgation à l'extérieur de l'entité peut porter
                            2                  dans le temps, perturbe
                                                                                                            atteinte à son image
                                             légèrement les processus       Une perte d'intégrité engendre
                                                                                                                                                                     L’opération réalisée doit être
                          Fort                      Entre 4 et 24h              des perturbations des                            Réservé
                                                                                                                                                                    enregistrée et conservée avec
                                           Une indisponibilité, de courte processus mais ne porte pas
                                                                                                             Une divulgation aux personnes non autorisées             un minimum d'information
                                          durée, perturbe les processus atteinte à la survie de l'entité
                            3                                                                                nuit significativement à l'image et peut entrainer
                                          mais ne porte pas atteinte à la
                                                                                                                                des pertes
                                                  survie de l'entité
                       Très fort                     Moins de 4h                        Intègre                                    Privé                                  Traces détaillées
                                          Une indisponibilité, même de
                                                                           Une perte d'intégrité porte                                                              L’opération réalisée doit être
                                          courte       durée,      impacte
                                                                           gravement         atteinte   aux Une divulgation de l'information nuit très              enregistrée et conservée, de
                            4             directement les processus et
                                                                           processus et éventuellement à gravement à l'entité victime de la divulgation             façon à être en mesure d'être
                                          peut porter atteinte à la survie
                                                                           la survie de l'entité                                                                    rejouée
                                          de l'entité




                                     Probabilité du scénario de menace
                 Niveaux de risque            Très faible                   Faible                               Moyen                                 Forte                        Très forte
                                          (Très improbable)              (Improbable)                          (Possible)                           (Probable)                   (Très probable)
                      Très faible                 0                           1                                     2                                   3                              4
Impacts métier




                        Faible                    1                           2                                     3                                   4                              5
                        Moyen                     2                           3                                     4                                   5                              6
                         Fort                     3                           4                                     5                                   6                              7
                       Très fort                  5                           6                                     6                                   7                              8
OUTILLAGE                                                                                  Bien essentiel :

         MÉTHODOLOGIE – HOWTO AVEC EXCEL                                                            Critère
                                                                                                         Disponibilité
                                                                                                                           Niveau       Justification

                                                                                                            Intégrité
                                                                                                        Confidentialité
     L’identification des bons actifs et du bon                                                              Preuve


     niveau de granularité est un facteur clé de                                                    Biens supports
                                                                                                    Systèmes informatiques et de téléphonie
     succès (éviter l’effet tunnel).                                                                   ID
                                                                                                     MAT1
                                                                                                                                          Matériels                          Lien
                                                                                                                                                                             LOC1
                                                                                                     MAT2                                                                    LOC2
                                                                                                     MAT3                                                                    LOC3

     Par exemple, on pourra considérer en actifs                                                       ID
                                                                                                     LOG1
                                                                                                                                          Logiciels                          Lien

                                                                                                     LOG2
     de support « les serveurs Windows », « les                                                      LOG3
                                                                                                     LOG4
     équipements réseau », etc. pour éviter                                                          LOG5
                                                                                                     LOG6

     d’avoir à analyser les risques sur chaque                                                       LOG7
                                                                                                       ID                   Canaux informatiques et de téléphonie            Lien

     serveur.                                                                                        RSX1
                                                                                                     RSX2

                                                                                       Mesures de sécurité
             Menaces             Prise en                                                                                                                Initial
ID                                          Bien support   Vulnérabilités exploitées     im plém entées                   Conséquences                                 Traitem ent
      (référentiel ISO 27005)    com pte
                                                                                                                                                  P      I         R
THEME 1 : Sinistres physiques
01 INCENDIE                        oui
02 DÉGÂTS DES EAUX                 oui
03 POLLUTION                       oui
04 SINISTRE MAJEUR                 oui
 04 SINISTRE MAJEUR                oui
    DESTRUCTION DE
 05 MATÉRIELS OU DE                oui
    SUPPORTS
THEME 2 : Evènem ents naturels
06 PHÉNOMÈNE CLIMATIQUE            oui
07 PHÉNOMÈNE SISMIQUE              oui
08 PHÉNOMÈNE VOLCANIQUE            oui
   PHÉNOMÈNE
09                                 oui
   MÉTÉOROLOGIQUE
10 CRUE                            oui
THEME 3 : Perte de services essentiels
    DÉFAILLANCE DE LA
 11                              oui
    CLIMATISATION
AGENDA
 Introduction et concepts
 Méthodologies et normes
 Concrètement
 Outillage
 Retours d’expérience
 Facteurs clés de succès
 Conclusion et questions
RETOURS D’EXPERIENCE
APPROCHE GLOBALE

 Périmètre
    Global SI
 Ce qu’il s’est passé
    Projet porté par le DSI (membre du CODIR)
    Volonté d’entamer une approche par les risques
    Identification de risques IT mais aussi RH, juridiques…
    Crainte de présenter les résultats en dehors de la DSI
 Conclusion
    Belle analyse de risque… à la DSI
    PTR IT mis en œuvre dans une grande majorité
    PTR hors IT figé
    L’entité n’était pas suffisamment mûre pour entamer une
    démarche globale de pilotage par les risques
    Le périmètre aurait pu être cantonné au domaine IT OU
    des audits techniques auraient pu suffir
RETOURS D’EXPERIENCE
APPROCHE POUR UNE APPLICATION

 Périmètre
    Analyse de risques sur un progiciel
 Ce qu’il s’est passé
    Suite à discussion avec les métiers et la volonté client, découpage
    fin du périmètre en modules fonctionnels du progiciel
    (complexité et durée de l’analyse d’impact métier)
    Au final, ce type d’application ne repose que sur quelques actifs
    support. Les risques (menaces et vulnérabilités) ne sont donc pas
    liés à un module particulier mais à l’ensemble du progiciel, qui
    repose sur les mêmes actifs
 Conclusions
    Passer par une analyse simplifiée pour identifier sommairement
    les risques principaux et les fonctions métier les plus sensibles
    Focaliser l’analyse d’impacts métiers sur ces fonctions
    Globaliser l’analyse des vulnérabilités sur l’ensemble de
    l’architecture
AGENDA
 Introduction et concepts
 Méthodologies et normes
 Concrètement
 Outillage
 Retours d’expérience
 Facteurs clés de succès
 Conclusion et questions
FACTEURS CLÉS DE SUCCÈS
 Impliquer le métier (c’est lui le propriétaire)

 Avoir un sponsor au bon niveau

 Bien choisir son périmètre et sa granularité

 Utiliser une méthodologie reproductible et partagée

 Adapter la méthodologie à son propre contexte
 (signaux compromettants)

 Produire plusieurs vues des résultats adaptées à chaque
 destinataire (Direction, IT, CP, Métier…)
ECUEIL À ÉVITER
 Entamer une analyse de risque               sans   en   avoir
 préalablement défini les objectifs

 Réaliser une analyse de risque alors que l’organisation
 n’est pas assez mûre

 Vouloir être exhaustif dès la première itération

 Confondre analyse de risque, audit, classification…

 Considérer l’analyse de risque comme un projet unitaire

 Se reposer uniquement sur l’outil

 Ne pas considérer les facteurs clés de succès ;)
AGENDA
 Introduction et concepts
 Méthodologies et normes
 Concrètement
 Outillage
 Retours d’expérience
 Facteurs clés de succès
 Conclusion et questions
CONCLUSION
 L’analyse de risque est le meilleur processus pour un pilotage
 efficace et pragmatique de la sécurité

 Il nécessite de maîtriser les concepts (accompagnement
 sécurité)

 Il s’agit d’un processus chronophage qui implique beaucoup
 d’acteurs (Direction, métier, IT, activités support, …)

 Ce processus ne peut être implémenté que dans des
 organisations mûres, dans lesquelles le métier est souciant de
 la sécurité
    Sinon, opter pour d’autres outils tels que des audits
    Hormis si l’on souhaite l’utiliser comme outil de sensibilisation du
    métier

 Le choix du périmètre et de la granularité est essentiel
QUESTIONS / RÉPONSES
MERCI !



    Claire BERNISSON         Frédérick MEYER

        06.16.26.48.44            06.77.63.22.71
     cbernisson@lexsi.com   frederick.meyer@advens.fr

Contenu connexe

Tendances

Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet Es-sahli bilal
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
Fiche 4 management des risques
Fiche  4    management des risquesFiche  4    management des risques
Fiche 4 management des risquesHalim ARROUDJ
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risquesPMI Lévis-Québec
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetChef De Projet Détendu
 
Introduction gestion des risques
Introduction gestion des risquesIntroduction gestion des risques
Introduction gestion des risquesJérémy Morvan
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Management des risque etude de cas 1 - MOSAR/MADS
Management des risque   etude de cas 1 - MOSAR/MADSManagement des risque   etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADSibtissam el hassani
 
Les tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performanceLes tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performanceAhmed Mesellem
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projetClément Dussarps
 
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)Moulin de COLAGNE
 

Tendances (20)

Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Management des risques
Management des risques Management des risques
Management des risques
 
Fiche 4 management des risques
Fiche  4    management des risquesFiche  4    management des risques
Fiche 4 management des risques
 
Cartographie des risques - Exemple pratique en 5 étapes, Kjell Larsson, Alger...
Cartographie des risques - Exemple pratique en 5 étapes, Kjell Larsson, Alger...Cartographie des risques - Exemple pratique en 5 étapes, Kjell Larsson, Alger...
Cartographie des risques - Exemple pratique en 5 étapes, Kjell Larsson, Alger...
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
Introduction gestion des risques
Introduction gestion des risquesIntroduction gestion des risques
Introduction gestion des risques
 
Methodes risques vp
Methodes risques vpMethodes risques vp
Methodes risques vp
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Management des risque etude de cas 1 - MOSAR/MADS
Management des risque   etude de cas 1 - MOSAR/MADSManagement des risque   etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADS
 
Les tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performanceLes tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performance
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projet
 
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)
 

En vedette

PRESENTATION DE L’ANALYSE SWOT Agriculture et Agro-alimentaire
PRESENTATION DE L’ANALYSE SWOT Agriculture et Agro-alimentairePRESENTATION DE L’ANALYSE SWOT Agriculture et Agro-alimentaire
PRESENTATION DE L’ANALYSE SWOT Agriculture et Agro-alimentairejounayd
 
Les 5 forces de Porter
Les 5 forces de PorterLes 5 forces de Porter
Les 5 forces de PorterIdir Mahtout
 
HEC Super Case - Dacia Présentation
HEC Super Case - Dacia PrésentationHEC Super Case - Dacia Présentation
HEC Super Case - Dacia PrésentationArnaud Lempereur
 
Presentation Dacia
Presentation DaciaPresentation Dacia
Presentation DaciaDavid Metge
 
Passez de SWOT à Super SWOT en 5 étapes simples
Passez de SWOT à Super SWOT en 5 étapes simplesPassez de SWOT à Super SWOT en 5 étapes simples
Passez de SWOT à Super SWOT en 5 étapes simplesYann-Patrick KONAN
 
Secteur des télécommunications
Secteur des télécommunicationsSecteur des télécommunications
Secteur des télécommunicationsCamille Bzlk
 
Maroc telecom mars 2014
Maroc telecom mars 2014Maroc telecom mars 2014
Maroc telecom mars 2014Salma Touab
 
Atelier sante environnement_2015
Atelier sante environnement_2015Atelier sante environnement_2015
Atelier sante environnement_2015bou bnbadri
 
Présentation de l'analyse SWOT du groupe ABBOTT
Présentation de l'analyse SWOT du groupe ABBOTTPrésentation de l'analyse SWOT du groupe ABBOTT
Présentation de l'analyse SWOT du groupe ABBOTTMariem Boujelben
 
Présentation perspectives 2013 ( par Banque Populaire )
Présentation perspectives 2013 ( par Banque Populaire )Présentation perspectives 2013 ( par Banque Populaire )
Présentation perspectives 2013 ( par Banque Populaire )www.bourse-maroc.org
 
Découverte de l'entreprise Danone (SWOT, Porter, McKinsey)
Découverte de l'entreprise Danone (SWOT, Porter, McKinsey)Découverte de l'entreprise Danone (SWOT, Porter, McKinsey)
Découverte de l'entreprise Danone (SWOT, Porter, McKinsey)Pierre Audran
 
Concurrence.pptx LAMKIRICH Asma
Concurrence.pptx LAMKIRICH AsmaConcurrence.pptx LAMKIRICH Asma
Concurrence.pptx LAMKIRICH AsmaAsy Lach
 
Présentation de la stratégie océan bleu
Présentation de la stratégie océan bleuPrésentation de la stratégie océan bleu
Présentation de la stratégie océan bleuArthur Dagan
 
Les 5 forces de porter - comprendre l'outil
Les 5 forces de porter - comprendre l'outilLes 5 forces de porter - comprendre l'outil
Les 5 forces de porter - comprendre l'outilMarie Delphine SANCHIS
 
Pdf stratégie d entreprise
Pdf stratégie d entreprisePdf stratégie d entreprise
Pdf stratégie d entrepriseadelaiderichard
 
Stratégie d'entreprise power point
Stratégie d'entreprise power pointStratégie d'entreprise power point
Stratégie d'entreprise power pointGuillaume Testa
 
LE MANAGEMENT STRATEGIQUE
LE MANAGEMENT STRATEGIQUELE MANAGEMENT STRATEGIQUE
LE MANAGEMENT STRATEGIQUEKhaled Fayala
 
La concurrence marketing
La concurrence   marketingLa concurrence   marketing
La concurrence marketingOmar BE
 

En vedette (19)

PRESENTATION DE L’ANALYSE SWOT Agriculture et Agro-alimentaire
PRESENTATION DE L’ANALYSE SWOT Agriculture et Agro-alimentairePRESENTATION DE L’ANALYSE SWOT Agriculture et Agro-alimentaire
PRESENTATION DE L’ANALYSE SWOT Agriculture et Agro-alimentaire
 
Les 5 forces de Porter
Les 5 forces de PorterLes 5 forces de Porter
Les 5 forces de Porter
 
HEC Super Case - Dacia Présentation
HEC Super Case - Dacia PrésentationHEC Super Case - Dacia Présentation
HEC Super Case - Dacia Présentation
 
Presentation Dacia
Presentation DaciaPresentation Dacia
Presentation Dacia
 
Passez de SWOT à Super SWOT en 5 étapes simples
Passez de SWOT à Super SWOT en 5 étapes simplesPassez de SWOT à Super SWOT en 5 étapes simples
Passez de SWOT à Super SWOT en 5 étapes simples
 
Secteur des télécommunications
Secteur des télécommunicationsSecteur des télécommunications
Secteur des télécommunications
 
Risque achat , scm
Risque achat , scmRisque achat , scm
Risque achat , scm
 
Maroc telecom mars 2014
Maroc telecom mars 2014Maroc telecom mars 2014
Maroc telecom mars 2014
 
Atelier sante environnement_2015
Atelier sante environnement_2015Atelier sante environnement_2015
Atelier sante environnement_2015
 
Présentation de l'analyse SWOT du groupe ABBOTT
Présentation de l'analyse SWOT du groupe ABBOTTPrésentation de l'analyse SWOT du groupe ABBOTT
Présentation de l'analyse SWOT du groupe ABBOTT
 
Présentation perspectives 2013 ( par Banque Populaire )
Présentation perspectives 2013 ( par Banque Populaire )Présentation perspectives 2013 ( par Banque Populaire )
Présentation perspectives 2013 ( par Banque Populaire )
 
Découverte de l'entreprise Danone (SWOT, Porter, McKinsey)
Découverte de l'entreprise Danone (SWOT, Porter, McKinsey)Découverte de l'entreprise Danone (SWOT, Porter, McKinsey)
Découverte de l'entreprise Danone (SWOT, Porter, McKinsey)
 
Concurrence.pptx LAMKIRICH Asma
Concurrence.pptx LAMKIRICH AsmaConcurrence.pptx LAMKIRICH Asma
Concurrence.pptx LAMKIRICH Asma
 
Présentation de la stratégie océan bleu
Présentation de la stratégie océan bleuPrésentation de la stratégie océan bleu
Présentation de la stratégie océan bleu
 
Les 5 forces de porter - comprendre l'outil
Les 5 forces de porter - comprendre l'outilLes 5 forces de porter - comprendre l'outil
Les 5 forces de porter - comprendre l'outil
 
Pdf stratégie d entreprise
Pdf stratégie d entreprisePdf stratégie d entreprise
Pdf stratégie d entreprise
 
Stratégie d'entreprise power point
Stratégie d'entreprise power pointStratégie d'entreprise power point
Stratégie d'entreprise power point
 
LE MANAGEMENT STRATEGIQUE
LE MANAGEMENT STRATEGIQUELE MANAGEMENT STRATEGIQUE
LE MANAGEMENT STRATEGIQUE
 
La concurrence marketing
La concurrence   marketingLa concurrence   marketing
La concurrence marketing
 

Similaire à ANALYSE DE RISQUES

Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?BPMSinfo
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt convertiIsmailElouarga
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialearmelleguillermet
 
Aqhsst optimisez l’efficacité de la gestion des risques sst
Aqhsst optimisez l’efficacité de la gestion des risques sstAqhsst optimisez l’efficacité de la gestion des risques sst
Aqhsst optimisez l’efficacité de la gestion des risques sstMario Deshaies
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Les risques associés aux transitions agile scrum breakfast
Les risques associés aux transitions agile   scrum breakfastLes risques associés aux transitions agile   scrum breakfast
Les risques associés aux transitions agile scrum breakfastYves Zieba
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 
A. Berrichi (Gestion risques professionnels - sept 2018)
A. Berrichi (Gestion risques professionnels  - sept 2018)A. Berrichi (Gestion risques professionnels  - sept 2018)
A. Berrichi (Gestion risques professionnels - sept 2018)Université Mohamed Premier
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnelsonepoint x weave
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Alterest
 
2004-03-25 Denis Shaink Gestion des risques - Outil de réussite en gp
2004-03-25 Denis Shaink Gestion des risques - Outil de réussite en gp2004-03-25 Denis Shaink Gestion des risques - Outil de réussite en gp
2004-03-25 Denis Shaink Gestion des risques - Outil de réussite en gpJean Gariépy
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 

Similaire à ANALYSE DE RISQUES (20)

Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt converti
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
 
Aqhsst optimisez l’efficacité de la gestion des risques sst
Aqhsst optimisez l’efficacité de la gestion des risques sstAqhsst optimisez l’efficacité de la gestion des risques sst
Aqhsst optimisez l’efficacité de la gestion des risques sst
 
Du sst-inrs-ed480
Du sst-inrs-ed480Du sst-inrs-ed480
Du sst-inrs-ed480
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Les risques associés aux transitions agile scrum breakfast
Les risques associés aux transitions agile   scrum breakfastLes risques associés aux transitions agile   scrum breakfast
Les risques associés aux transitions agile scrum breakfast
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 
A. Berrichi (Gestion risques professionnels - sept 2018)
A. Berrichi (Gestion risques professionnels  - sept 2018)A. Berrichi (Gestion risques professionnels  - sept 2018)
A. Berrichi (Gestion risques professionnels - sept 2018)
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
 
2004-03-25 Denis Shaink Gestion des risques - Outil de réussite en gp
2004-03-25 Denis Shaink Gestion des risques - Outil de réussite en gp2004-03-25 Denis Shaink Gestion des risques - Outil de réussite en gp
2004-03-25 Denis Shaink Gestion des risques - Outil de réussite en gp
 
Webconference 3
Webconference 3Webconference 3
Webconference 3
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 

ANALYSE DE RISQUES

  • 1. ANALYSES DE RISQUES CLUSIR InfoNord RSSI du 24 janvier 2012
  • 2. AGENDA Introduction et concepts Méthodologies et normes Concrètement Outillage Retours d’expérience Facteurs clés de succès Conclusion et questions
  • 3. AGENDA Introduction et concepts Méthodologies et normes Concrètement Outillage Retours d’expérience Facteurs clés de succès Conclusion et questions
  • 4. INTRODUCTION Objectifs : A partir des principales normes et méthodologies actuelles, en présenter les principaux concepts puis apporter des retours d’expérience Ceci afin de donner les clés permettant de réaliser des analyses de risque pertinentes et efficaces Limites : La présentation se limitera à l’analyse de risque SI uniquement
  • 5. CONCEPTS ET VOCABULAIRE DU RISQUE AU « SCÉNARIO DE RISQUE » Fenêtre ouverte = Vulnérabilité Risque = Vol de matériel ou d’informations Passant = Menace Scénario de Risque = Combinaison d’une menace et d’une vulnérabilité dont l’impact sur l’activité n’est pas anodin.
  • 6. CONCEPTS ET VOCABULAIRE LA TERMINOLOGIE COURANTE (1/2) Menaces Ce sont les choses ou les personnes à l’origine des risques. On peut distinguer plusieurs types de menaces (humaines, techniques, environnementales notamment) Vulnérabilité Il s’agit d’une lacune dans les dispositifs et mesures de sécurité en place qui permettent ou facilitent la concrétisation du risque Actif/activité essentiel(le) (aussi appelé bien essentiel dans certaines méthodologies) Ce sont les composants ou les activités sur lesquels on va « appliquer » l’analyse de risques Actif support (aussi appelé bien support dans certaines méthodologies) Ce sont les composants d'un système d'information sur lesquels reposent les biens essentiels et/ou les mesures de sécurité. On trouvera généralement les biens relatifs aux systèmes d’informations et de téléphonie, ceux relatifs à l’organisation et ceux relatifs aux locaux.
  • 7. CONCEPTS ET VOCABULAIRE LA TERMINOLOGIE COURANTE (2/2) Probabilité d’occurrence (parfois appelé potentialité) Probabilité que la menace se concrétise « dans l’absolu », sans tenir compte des vulnérabilités. Impact Ce sont les conséquences d’une réalisation d’un scénario de risque sur l’activité métier. Il existe des impacts directs (financiers, image, par exemple) et des impacts indirects (désorganisation , réglementaire ou juridique). La mesure des impacts est primordiale dans le sens où c’est elle qui va déterminer le niveau du risque. Risque Probabilité qu’une menace puisse exploiter une vulnérabilité d’un actif ou d’un groupe d’actifs et cause un impact non négligeable sur l’organisation ou ses activités (ISO 27005).
  • 8. CONCEPTS ET VOCABULAIRE TRAITEMENT DU RISQUE Evitement Arrêt de l’activité (ou du projet) Réduction Implémentation de mesures de sécurité Transfert Assurance Acceptation Le métier décide de ne rien faire
  • 9. AGENDA Introduction et concepts Méthodologies et normes Concrètement Outillage Retours d’expérience Facteurs clés de succès Conclusion et questions
  • 10. MÉTHODOLOGIES ET NORMES Plus de 200 méthodologies existantes Globales Sectorielles En France, les plus connues sont EBIOS, produite par l’ANSSI Outil EBIOS MEHARI, produite par le CLUSIF 11 langues 25.000 téléchargements de la base de connaissance Outil RISICARE IRAM, produite par l’ISF Réservée aux membres de l’ISF Plutôt pour des entreprises de grande ampleur internationale (méthodologie en anglais)
  • 11. MÉTHODOLOGIES ET NORMES MEHARI – CLUSIF Phase préparatoire Phase préparatoire Prise en compte du contexte Définition des métriques Identification des activités essentielles Phase opérationnelle Identification des actifs support (potentialité et impact intrinsèques) d’analyse des risques Phase opérationnelle Analyse des vulnérabilités Analyse des menaces Phase de planification Identification de la potentialité et de l’impact du traitement Identification de la gravité du risque Confrontation de (la potentialité et de l’impact) avec la gravité Décisions sur la gestion des risques Planification et traitement Plan de traitement des risques et amélioration continue
  • 12. MÉTHODOLOGIES ET NORMES EBIOS – ANSSI Contexte Contexte Prise en compte du contexte Définition des métriques Evénements Scénarios de Identification des activités essentielles redoutés menaces Identification des actifs support Evènements redoutés Risques Identification des impacts Scénarios de menace Analyse des vulnérabilités Mesures de sécurité Analyse des menaces Identification des probabilités d’occurrence Etude des risques Confrontation des scénarios de menace (probabilité d’exploitation des vulnérabilités par les menaces) avec les évènements redoutés (impact) Décisions sur la gestion des risques Etude des mesures de sécurité Plan de traitement des risques et amélioration continue
  • 13. MÉTHODOLOGIES ET NORMES ISO/IEC 27005 – INTERNATIONAL STANDARD ORGANISATION Etude du contexte Etude du contexte Appréciation des risques Prise en compte du contexte Communication des risques Analyse des risques Définition des métriques Identification des risques Identification des risques Suivi et revue Identification des activités essentielles Estimation des risques Identification des actifs support Evaluation des risques Analyse des menaces Analyse des vulnérabilités Traitement du risque Identification des conséquences Acceptation du risque résiduel Estimation des risques Confrontation des menaces avec les vulnérabilités et les conséquences possibles Identification des probabilités d’occurrence Evaluation des risques (revue) Traitement du risque Amélioration continue
  • 14. MÉTHODOLOGIES ET NORMES SYNTHÈSE Les méthodologies s’alignent sur la norme ISO/IEC 27005 Les méthodologies sont semblables… Implémentation des mêmes concepts Propositions d’outils et de bases de connaissances Mais différentes Vocabulaire Organisation de la démarche L’ISO/IEC 27005 ne propose pas de méthode Elle propose les règles pour concevoir une méthode Par conséquent pas d’outils, mais des bases de connaissance issues d’EBIOS Une alternative est de concevoir sa propre méthode, en s’alignant sur les concepts de l’ISO 27005. A défaut, EBIOS est assez proche.
  • 15. AGENDA Introduction et concepts Méthodologies et normes Concrètement Outillage Retours d’expérience Facteurs clés de succès Conclusion et questions
  • 16. COMMENT S’Y PRENDRE CONCRÈTEMENT ? AVANT DE SE LANCER Répondre à la question « A quoi vont me servir les résultats de l’analyse de risques » ? A mettre en place un SMSI ou construire un schéma directeur sécurité ? (oui) A identifier de nouvelles mesures de sécurité à mettre en place sur mon SI ? (non) A identifier de nouvelles mesures de sécurité à mettre en place sur mon SI, en fonction des besoins métier ? (oui) A identifier des éléments qui me serviront de levier pour déclencher un projet ou trouver du budget ? (oui) A poursuivre mon projet en toute sérénité ? (oui) Suivant la réponse, on ne mènera pas le même type de démarche. Cependant, pour des raisons de cohérence, il sera intéressant de définir pour une même organisation une démarche simplifiée et une démarche complète.
  • 17. COMMENT S’Y PRENDRE CONCRÈTEMENT ? ATTENTION AUX DÉVIANCES ! Une analyse de risques, Une analyse de risques, ça ne sert pas à… ça sert à… Faire beau pour dire d’en Définir un Schéma Directeur, avoir fait une (risque de initier un SMSI, de manière décrédibiliser l’ensemble de la générale à appuyer une démarche sécurité) gestion de la sécurité basée sur les risques métiers Remplacer un audit Sensibiliser et communiquer sur les risques de l’organisation Juger l’IT et évaluer son niveau de sécurité Obtenir des leviers « métier » pour dégager du budget, déclencher un projet
  • 18. COMMENT S’Y PRENDRE CONCRÈTEMENT ? L’ANALYSE DE RISQUES « GLOBALE » Quand Comment Resp. Impliqués Approche Définir : RSSI Direction (CODIR, globale (Schéma •Le périmètre (et ses limites) ou équivalent) Directeur, •Le niveau de granularité Métiers SMSI, ..) •Les échelles d’impact et de Managers probabilité •Les bases de vulnérabilités et de menaces Lorsque c’est la toute première Analyse de Risques réalisée : •Commencer sur un périmètre bien défini voire restreint avec une granularité très faible voire sans granularité •Ce type d’analyse s’inscrit dans une démarche PDCA : l’analyse suivante pourra viser un périmètre plus large ou une granularité plus fine !
  • 19. COMMENT S’Y PRENDRE CONCRÈTEMENT ? L’ANALYSE DE RISQUES « PROJET » Quand Comment Resp. Impliqués En début de Définir : Chef de Métiers utilisateurs projet •Le périmètre (limites projet, (besoins) techniques généralement) accompagné Principaux acteurs •Le niveau de granularité par un acteur IT du projet (modules fonctionnels) sécurité •Les échelles, adaptées au niveau d’impact du projet sur l’activité •Les bases de vulnérabilités et de menaces (un peu plus techniques) Tout projet ne doit pas faire l’objet d’une Analyse de Risques complète. Il est préférable de réaliser d’abord une rapide « analyse de sensibilité », qui déterminera si le projet doit effectivement passer par une analyse de risques ou alors simplement par une analyse simplifiée et réalisée de manière autonome sans la sécurité (issu de l’AR globale qui a défini des mesures communes à toute l’organisation).
  • 20. COMMENT S’Y PRENDRE CONCRÈTEMENT ? AU CAS PAR CAS Quand Comment Resp. Impliqués Besoins ponctuels •Méthodologies adaptées Celui qui Dépendant du (benchmark, suivi mais très simplifiées réalise la périmètre, des vulnérabilités, •Périmètre réduit à une tâche, sans généralement peu auto-évaluation, …) tâche, un actif, etc. appui de personnes impératif de la sécurité Ce type d’analyse sera réalisé sur opportunité. On pourra l’appuyer par exemple sur la méthodologie simplifiée définie pour les projets par exemple, mais il sera nécessaire de s’ assurer que les échelles employées correspondent au périmètre.
  • 21. AGENDA Introduction et concepts Méthodologies et normes Concrètement Outillage Retours d’expérience Facteurs clés de succès Conclusion et questions
  • 22. OUTILLAGE L’ALTERNATIVE Utiliser les outils des méthodologies (EBIOS, MEHARI) Avantages Inconvénients Bases de connaissances pré remplies Adaptation de la méthode à l’outil Mécanismes implémentés Nécessite une formation et de l’expérience Perte de maîtrise sur la méthodologie Créer son propre outillage Avantages Inconvénients Implémentation pas à pas Bases de connaissance à renseigner Formation par la pratique qui engendre Automatisation des calculs à implémenter une meilleure maîtrise des concepts L’outil s’adapte à la méthode et au Nécessite d’être documenté contexte (bases de connaissances) Quel que soit l’outil, il doit être maîtrisé (pour les ajustements) et réutilisable (pour la revue des risques)
  • 23. OUTILLAGE MÉTHODOLOGIE – HOWTO AVEC EXCEL Lire l’ISO/IEC 27005 (~ 20 pages utiles) Onglet 1 Définition du contexte (quelques lignes) Définition du périmètre Activités essentielles et leur classification (au sens métier) Actifs de support (ATTENTION à la granularité !) Onglet 2 Définition des métriques (grilles de probabilité, impact, acceptation du risque) Onglet 3 (option pour l’automatisation) Base des menaces et base des vulnérabilités Onglet 4 Cartographie des risques consolidée par niveau (PPT) Un peu de feeling et de pragmatisme permettent de réduire les bases de menaces et de vulnérabilités et par conséquent d’être plus efficace
  • 24. OUTILLAGE MÉTHODOLOGIE – HOWTO AVEC EXCEL Besoin de sécurité Disponibilité Intégrité Confidentialité Preuve Faible Plus de 72h Détectable Public Pas de traces Une perte d'intégrité, détectée Une indisponibilité, planifiée Aucune exigence ni besoin de ou non, perturbe peu les 1 ou non, n'impacte pas les Une divulgation de l'information n'a aucun impact trace n’est à prendre en processus et peut rapidement processus de soin compte être corrigée Moyen Entre 24 et 72h Maîtrisé Limité Traces simples Une indisponibilité, limitée Une divulgation à l'extérieur de l'entité peut porter 2 dans le temps, perturbe atteinte à son image légèrement les processus Une perte d'intégrité engendre L’opération réalisée doit être Fort Entre 4 et 24h des perturbations des Réservé enregistrée et conservée avec Une indisponibilité, de courte processus mais ne porte pas Une divulgation aux personnes non autorisées un minimum d'information durée, perturbe les processus atteinte à la survie de l'entité 3 nuit significativement à l'image et peut entrainer mais ne porte pas atteinte à la des pertes survie de l'entité Très fort Moins de 4h Intègre Privé Traces détaillées Une indisponibilité, même de Une perte d'intégrité porte L’opération réalisée doit être courte durée, impacte gravement atteinte aux Une divulgation de l'information nuit très enregistrée et conservée, de 4 directement les processus et processus et éventuellement à gravement à l'entité victime de la divulgation façon à être en mesure d'être peut porter atteinte à la survie la survie de l'entité rejouée de l'entité Probabilité du scénario de menace Niveaux de risque Très faible Faible Moyen Forte Très forte (Très improbable) (Improbable) (Possible) (Probable) (Très probable) Très faible 0 1 2 3 4 Impacts métier Faible 1 2 3 4 5 Moyen 2 3 4 5 6 Fort 3 4 5 6 7 Très fort 5 6 6 7 8
  • 25. OUTILLAGE Bien essentiel : MÉTHODOLOGIE – HOWTO AVEC EXCEL Critère Disponibilité Niveau Justification Intégrité Confidentialité L’identification des bons actifs et du bon Preuve niveau de granularité est un facteur clé de Biens supports Systèmes informatiques et de téléphonie succès (éviter l’effet tunnel). ID MAT1 Matériels Lien LOC1 MAT2 LOC2 MAT3 LOC3 Par exemple, on pourra considérer en actifs ID LOG1 Logiciels Lien LOG2 de support « les serveurs Windows », « les LOG3 LOG4 équipements réseau », etc. pour éviter LOG5 LOG6 d’avoir à analyser les risques sur chaque LOG7 ID Canaux informatiques et de téléphonie Lien serveur. RSX1 RSX2 Mesures de sécurité Menaces Prise en Initial ID Bien support Vulnérabilités exploitées im plém entées Conséquences Traitem ent (référentiel ISO 27005) com pte P I R THEME 1 : Sinistres physiques 01 INCENDIE oui 02 DÉGÂTS DES EAUX oui 03 POLLUTION oui 04 SINISTRE MAJEUR oui 04 SINISTRE MAJEUR oui DESTRUCTION DE 05 MATÉRIELS OU DE oui SUPPORTS THEME 2 : Evènem ents naturels 06 PHÉNOMÈNE CLIMATIQUE oui 07 PHÉNOMÈNE SISMIQUE oui 08 PHÉNOMÈNE VOLCANIQUE oui PHÉNOMÈNE 09 oui MÉTÉOROLOGIQUE 10 CRUE oui THEME 3 : Perte de services essentiels DÉFAILLANCE DE LA 11 oui CLIMATISATION
  • 26. AGENDA Introduction et concepts Méthodologies et normes Concrètement Outillage Retours d’expérience Facteurs clés de succès Conclusion et questions
  • 27. RETOURS D’EXPERIENCE APPROCHE GLOBALE Périmètre Global SI Ce qu’il s’est passé Projet porté par le DSI (membre du CODIR) Volonté d’entamer une approche par les risques Identification de risques IT mais aussi RH, juridiques… Crainte de présenter les résultats en dehors de la DSI Conclusion Belle analyse de risque… à la DSI PTR IT mis en œuvre dans une grande majorité PTR hors IT figé L’entité n’était pas suffisamment mûre pour entamer une démarche globale de pilotage par les risques Le périmètre aurait pu être cantonné au domaine IT OU des audits techniques auraient pu suffir
  • 28. RETOURS D’EXPERIENCE APPROCHE POUR UNE APPLICATION Périmètre Analyse de risques sur un progiciel Ce qu’il s’est passé Suite à discussion avec les métiers et la volonté client, découpage fin du périmètre en modules fonctionnels du progiciel (complexité et durée de l’analyse d’impact métier) Au final, ce type d’application ne repose que sur quelques actifs support. Les risques (menaces et vulnérabilités) ne sont donc pas liés à un module particulier mais à l’ensemble du progiciel, qui repose sur les mêmes actifs Conclusions Passer par une analyse simplifiée pour identifier sommairement les risques principaux et les fonctions métier les plus sensibles Focaliser l’analyse d’impacts métiers sur ces fonctions Globaliser l’analyse des vulnérabilités sur l’ensemble de l’architecture
  • 29. AGENDA Introduction et concepts Méthodologies et normes Concrètement Outillage Retours d’expérience Facteurs clés de succès Conclusion et questions
  • 30. FACTEURS CLÉS DE SUCCÈS Impliquer le métier (c’est lui le propriétaire) Avoir un sponsor au bon niveau Bien choisir son périmètre et sa granularité Utiliser une méthodologie reproductible et partagée Adapter la méthodologie à son propre contexte (signaux compromettants) Produire plusieurs vues des résultats adaptées à chaque destinataire (Direction, IT, CP, Métier…)
  • 31. ECUEIL À ÉVITER Entamer une analyse de risque sans en avoir préalablement défini les objectifs Réaliser une analyse de risque alors que l’organisation n’est pas assez mûre Vouloir être exhaustif dès la première itération Confondre analyse de risque, audit, classification… Considérer l’analyse de risque comme un projet unitaire Se reposer uniquement sur l’outil Ne pas considérer les facteurs clés de succès ;)
  • 32. AGENDA Introduction et concepts Méthodologies et normes Concrètement Outillage Retours d’expérience Facteurs clés de succès Conclusion et questions
  • 33. CONCLUSION L’analyse de risque est le meilleur processus pour un pilotage efficace et pragmatique de la sécurité Il nécessite de maîtriser les concepts (accompagnement sécurité) Il s’agit d’un processus chronophage qui implique beaucoup d’acteurs (Direction, métier, IT, activités support, …) Ce processus ne peut être implémenté que dans des organisations mûres, dans lesquelles le métier est souciant de la sécurité Sinon, opter pour d’autres outils tels que des audits Hormis si l’on souhaite l’utiliser comme outil de sensibilisation du métier Le choix du périmètre et de la granularité est essentiel
  • 35. MERCI ! Claire BERNISSON Frédérick MEYER 06.16.26.48.44 06.77.63.22.71 cbernisson@lexsi.com frederick.meyer@advens.fr